基本概念
從網路運行和管理者角度說,希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網路資源非法占用和非法控制等威脅,如利用UniNAC準入控制、DLP防泄露等信息安全系統來制止和防禦網路黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
隨著計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、檔案處理,基於簡單連線的內部網路的內部業務處理、辦公自動化等發展到基於複雜的內部網(Intranet)、企業外部網(Extranet)、全球網際網路(Internet)的企業級計算機處理系統和世界範圍內的信息共享和業務處理。
在系統處理能力提高的同時,系統的連線能力也在不斷的提高。但在連線能力信息、流通能力提高的同時,基於網路連線的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:網路的物理安全、網路拓撲結構安全、網路系統安全、套用系統安全和網路管理的安全等。
因此計算機安全問題,應該像每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
網路安全就是網路上的信息安全,涉及的領域很廣。包括以下含義:
一、網路運行系統安全
二、網路上系統信息的安全
三、網路上信息傳播的安全,即信息傳播後果的安全
四、網路上信息內容的安全。
內容
一、網路實體的安全
二、軟體安全
三、數據安全
四、安全管理
五、數據保密性
六、數據完整性
七、可用性
八、可審查性
國際標準化組織
為數據處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露。
選擇適當的技術和產品,制訂靈活的網路安全策略,在保證網路安全的情況下,提供靈活的網路服務通道。
採用適當的安全體系設計和管理計畫,能夠有效降低網路安全對網路性能的影響並降低管理費用。
主要特性
1.保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
2.完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
3.可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關係統的正常運行等都屬於對可用性的攻擊;
4.可控性:對信息的傳播及內容具有控制能力。
5.可審查性:出現的安全問題時提供依據與手段
1.非授權訪問。指對網路設備及信息資源進行非正常使用或越權使用等。
2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權,以達到占用合法用戶資源的目的。
3.破壞數據的完整性。指使用非法手段,刪除、修改、重發某些重要信息,以干擾用戶的正常使用。
4.干擾系統正常運行。指改變系統的正常運行方法,減慢系統的回響時間等手段。
5.病毒與惡意攻擊。指通過網路傳播病毒或惡意Java、XActive等。
6.線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。
市場規模
2014年全球網路安全市場規模有望達到956億美元(約合人民幣5951.3億元),並且在未來5年,年複合增長率達到10.3%,到2019年,這一數據有望觸及1557.4億美元(約合人民幣9695.1億元)。其中,到2019年,全球無線網路安全市場規模將達到155.5億美元(約合人民幣969.3億元),年複合增長率約12.94%。
從行業來看,航空航天、國防等領域仍將是網路安全市場的主要推動力量。從地區收益來看,北美地區將是最大的市場。同時,亞太地區、中東和非洲地區有望在一定的時機呈現更大的增長速度。
報告中指出,雲服務的快速普及、無線通訊、公共事業行業的網路犯罪增加以及嚴格的政府監管措施出台都是這一市場發展的主要因素。因此,今後批准的網路安全解決方案將不斷增加以防範和打擊專業對手創造的先進和複雜的威脅。
此外,由於網路犯罪逐漸增長導致智力及金融資產的損失,並可能損害國家的基礎設施和經濟,因此雲服務提供商和垂直行業,如能源,石油和天然氣等都將加大網路安全解決方案的投入。
展覽會
天津信息安全高峰論壇以“提高信息網路安全水平,促進國家信息網路安全”為宗旨,針對當前突出的網路安全問題和信息產業發展新趨勢,圍繞“雲安全、移動安全”等當前熱點問題進行探討。
2014中國國際計算機網路和信息安全展,2014年5月15~17日上海世博主題館舉行。
主要關係
通常,系統安全與性能和功能是一對矛盾的關係。如果某個系統不向外界提供任何服務(斷開),外界是不可能構成安全威脅的。但是,企業接入國際互連網路,提供網上商店和電子商務等服務,等於將一個內部封閉的網路建成了一個開放的網路環境,各種安全包括系統級的安全問題也隨之產生。
構建網路安全系統,一方面由於要進行認證、加密、監聽,分析、記錄等工作,由此影響網路效率,並且降低客戶套用的靈活性;另一方面也增加了管理費用。
但是,來自網路的安全威脅是實際存在的,特別是在網路上運行關鍵業務時,網路安全是首先要解決的問題。
全方位的安全體系
與其它安全體系(如保全系統)類似,企業套用系統的安全體系應包含:
訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。
檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。
攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,並採取相應的行動(如斷開網路連線、記錄攻擊過程、跟蹤攻擊源等)。
加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。
認證:良好的認證體系可防止攻擊者假冒合法用戶。
備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,儘快地恢複數據和系統服務。
多層防禦,攻擊者在突破第一道防線後,延緩或阻斷其到達攻擊目標。
隱藏內部信息,使攻擊者不能了解系統內的基本情況。
設立安全監控中心,為信息系統提供安全體系管理、監控,渠護及緊急情況服務。
解決方案
分析我們的網路對安全性有極高的要求,網路中的關鍵套用和關鍵數據越來越多,如何保障關鍵業務數據的安全性成為網路運維中非常關鍵的工作。
安全缺口
安全策略經常會與用戶方便性相矛盾,從而產生相反的壓力,使安全措施與安全策略相脫節。這種情況稱為安全缺口。為什麼會存在安全缺口呢?有下面四個因素:
網路設備種類繁多——當前使用的有各種各樣的網路設備,從Windows NT和UNIX 伺服器到防火牆、路由器和Web伺服器,每種設備均有其獨特的安全狀況和保密功能;
訪問方式的多樣化——一般來說,您的網路環境存在多種進出方式,許多過程拔號登錄點以及新的Internet訪問方式可能會使安全策略的設立複雜化;
網路的不斷變化——網路不是靜態的,一直都處於發展變化中。啟用新的硬體設備和作業系統,實施新的應用程式和Web伺服器時,安全配置也有不盡相同;
用戶保全專業知識的缺乏——許多組織所擁有的對網路進行有效保護的保全專業知識十分有限,這實際上是造成安全缺口最為主要的一點。
主要表現
網路的物理安全、網路拓撲結構安全、網路系統安全、套用系統安全和網路管理的安全等。
因此計算機安全問題,應該象每家每戶的防火防盜問題一樣,做到防範於未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。
主要類型
網路安全由於不同的環境和套用而產生了不同的類型。主要有以下幾種:
系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的訊息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
網路的安全
網路上系統信息的安全。包括用戶口令鑑別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
影響因素
自然災害、意外事故;計算機犯罪;人為行為,比如使用不當,安全意識差等;黑客”行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連線等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;網路協定中的缺陷,例如TCP/IP協定的安全問題等等。
網路安全威脅主要包括兩類:滲入威脅和植入威脅。
滲入威脅主要有:假冒、旁路控制、授權侵犯;植入威脅主要有:特洛伊木馬、陷門。
陷門:將某一“特徵”設立於某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。
影響安全性的因素
網路結構因素
網路基本拓撲結構有3種:星型、匯流排型和環型。一個單位在建立自己的內部網之前,各部門可能已建造了自己的區域網路,所採用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網路間信息的通信,往往要犧牲一些安全機制的設定和實現,從而提出更高的網路開放性要求。
網路協定因素
在建造內部網時,用戶為了節省開支,必然會保護原有的網路基礎設施。另外,網路公司為生存的需要,對網路協定的兼容性要求越來越高,使眾多廠商的協定能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協定下傳送的有害程式能很快傳遍整個網路。
地域因素由於內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網路,而是一個專用網路),網路往往跨越城際,甚至國際。地理位置複雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些“黑客”造成可乘之機。
用戶因素
企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之後,用戶的範圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網路的安全性帶來了威脅,因為這裡可能就有商業間諜或“黑客。”
主機因素
建立內部網時,使原來的各區域網路、單機互聯,增加了主機的種類,如工作站、伺服器,甚至小型機、大中型機。由於它們所使用的作業系統和網路作業系統不盡相同,某個作業系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網路的大隱患。
單位安全政策
實踐證明,80%的安全問題是由網路內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。
人員因素
人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網路管理員,制訂出具體措施,提高安全意識。
其他
其他因素如自然災害等,也是影響網路安全的因素。
技術原理
網路安全性問題關係到未來網路套用的深入發展,它涉及安全策略、移動代碼、指令保護、密碼學、作業系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的網際網路的隔離主要使用“防火牆”技術。
“防火牆”是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使網際網路與內部網之間建立起一個安全網關,從而保護內部網免受非法用戶的侵入。
能夠完成“防火牆”工作的可以是簡單的隱蔽路由器,這種“防火牆”如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在網際網路協定連線埠級上阻止網間或主機間通信,起到一定的過濾作用。由於隱蔽路由器僅僅是對路由器的參數做些修改,因而也有人不把它歸入“防火牆”一級的措施。
真正意義的“防火牆”有兩類,一類被稱為標準“防火牆”;一類叫雙家網關。標準”防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩衝。其中一個路由器的接口是外部世界,即公用網;而另一個則聯接內部網。標準“防火牆”使用專門的軟體,並要求較高的管理水平,而且在信息傳輸上有一定的延遲。而雙家網關則是對標準“防火牆”的擴充。雙家網關又稱堡壘主機或套用層網關,它是一個單個的系統,但卻能同時完成標準“防火牆”的所有功能。其優點是能運行更複雜的套用,同時防止在網際網路和內部系統之間建立的任何直接的連線,可以確保數據包不能直接從外部網路到達內部網路,反之亦然。
隨著“防火牆”技術的進步,在雙家網關的基礎上又演化出兩種“防火牆”配置,一種是隱蔽主機網關,另一種是隱蔽智慧型網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在網際網路和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,通過路由器的配置,使該堡壘主機成為內部網與網際網路進行通信的唯一系統。目前技術最為複雜而且安全級別最高的”防火牆”當屬隱蔽智慧型網關。所謂隱蔽智慧型網關是將網關隱藏在公共系統之後,它是網際網路用戶唯一能見到的系統。所有網際網路功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種“防火牆”是最不容易被破壞的。
與“防火牆”配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展,網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著數據加密技術和物理防範技術的不斷發展。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑑別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智慧卡技術。所謂智慧卡就是密鑰的一種媒體,一般就像信用卡一樣,由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上註冊的密碼一致。當口令與身份特徵共同使用時,智慧卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
安全分析
物理安全分析
網路的物理安全是整個網路系統安全的前提。在校園網工程建設中,由於網路系統屬於弱電工程,耐壓值很低。因此,在網路工程的設計和施工中,必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害;考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建築物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。
總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬體;雙機多冗餘的設計;機房環境及報警系統、安全意識等,因此要儘量避免網路的物理安全風險。
網路結構安全分析
網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時,內部網路的機器安全就會受到威脅,同時也影響在同一網路上的許多其他系統。透過網路傳播,還會影響到連上Internet/Intrant的其他的網路;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開伺服器(WEB、DNS、EMAIL等)和外網及內部其它業務網路進行必要的隔離,避免網路結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。
系統安全分析
所謂系統的安全是指整個網路作業系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的作業系統可以選擇,無論是Microsfot的WindowsNT或者其它任何商用UNIX作業系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的作業系統。不同的用戶應從不同的方面對其網路作詳盡的分析,選擇安全性儘可能高的作業系統。因此不但要選用儘可能可靠的作業系統和硬體平台,並對作業系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達伺服器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的範圍內。
套用系統安全分析
套用系統的安全跟具體的套用有關,它涉及面廣。套用系統的安全是動態的、不斷變化的。套用的安全性也涉及到信息的安全性,它包括很多方面。
套用系統的安全是動態的、不斷變化的。
套用的安全涉及方面很多,以目前Internet上套用最為廣泛的E-mail系統來說,其解決方案有sendmail、NetscapeMessagingServer、Software.ComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。套用系統是不斷發展且套用類型是不斷增加的。在套用系統的安全性上,主要考慮儘可能建立安全的系統平台,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高系統的安全性。
套用的安全性涉及到信息、數據的安全性。
信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對於重要信息的通訊必須授權,傳輸必須加密。採用多層次的訪問控制與許可權控制手段,實現對數據的安全保護;採用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。
管理安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新安全機制
必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網路的損失都是難以估計的。因此,網路的安全建設是校園網建設過程中重要的一環。
網路安全措施
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑑別,設定用戶訪問目錄和檔案的許可權,控制網路設備配置的許可權,等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義,防止計算機網路病毒,安裝網路防病毒系統。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來,圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權,從而保護網路資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智慧卡技術和訪問控制等等。
安全技術
防火牆
防火牆是一種訪問控制產品。主要技術有:包過濾技術,套用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連線。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
網路安全隔離
網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料 。網路安全隔離與防火牆的區別可參看參考資料 。
虛擬專用網(VPN)
虛擬專用網(VPN)是在公共數據網路上,通過採用身份認證技術、數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
入侵檢測系統(IDS)
入侵檢測,用於檢測可能的入侵等不尋常的網路行為和事件。
防護措施
1、儘可能不對外人透露電腦賬號和密碼。
2、安裝防毒軟體和防火牆,並定期防毒。
3、注意升級作業系統。
4、不要隨便在網路上下載不知名的檔案。
5、安裝正版的作業系統,很多破解版的系統有被黑客安裝了“後門”。
工具與法律
維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的防毒軟體等構成。在法律方面有中華人民共和國計算機信息系統安全保護條例、中華人民共和國電子簽名法等。
主要產品
在網路設備和網路套用市場蓬勃發展的帶動下,網路安全市場迎來了高速發展期,一方面隨著網路的延伸,網路規模迅速擴大,安全問題變得日益複雜,建設可管、可控、可信的網路也是進一步推進網路套用發展的前提;另一方面隨著網路所承載的業務日益複雜,保證套用層安全是網路安全發展的新的方向。
隨著網路技術的快速發展,原來網路威脅單點疊加式的防護手段已經難以有效抵禦日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智慧型安全的整體安全體系,為用戶提供多層次、全方位的立體防護體系成為信息安全建設的新理念。在此理念下,網路安全產品將發生了一系列的變革。
結合實際套用需求,在新的網路安全理念的指引下,網路安全解決方案正向著以下幾個方向來發展:
1、主動防禦走向市場
主動防禦的理念已經發展了一些年,但是從理論走向套用一直存在著多種阻礙。主動防禦主要是通過分析並掃描指定程式或執行緒的行為,根據預先設定的規則,判定是否屬於危險程式或病毒,從而進行防禦或者清除操作。不過,從主動防禦理念向產品發展的最重要因素就是智慧型化問題。由於計算機是在一系列的規則下產生的,如何發現、判斷、檢測威脅並主動防禦,成為主動防禦理念走向市場的最大阻礙。
由於主動防禦可以提升安全策略的執行效率,對企業推進網路安全建設起到了積極作用,所以儘管其產品還不完善,但是隨著未來幾年技術的進步,以程式自動監控、程式自動分析、程式自動診斷為主要功能的主動防禦型產品將與傳統網路安全設備相結合。尤其是隨著技術的發展,高效準確的對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦產品將逐步發展成熟並推向市場,主動防禦技術走向市場將成為一種必然的趨勢。
2、安全技術融合備受重視
隨著網路技術的日新月異,網路普及率的快速提高,網路所面臨的潛在威脅也越來越大,單一的防護產品早已不能滿足市場的需要。發展網路安全整體解決方案已經成為必然趨勢,用戶對務實有效的安全整體解決方案需求愈加迫切。安全整體解決方案需要產品更加集成化、智慧型化、便於集中管理。未來幾年開發網路安全整體解決方案將成為主要廠商差異化競爭的重要手段。網路安全相關書籍軟硬結合,管理策略走入安全整體解決方案。
面對規模越來越龐大和複雜的網路,僅依靠傳統的網路安全設備來保證網路層的安全和暢通已經不能滿足網路的可管、可控要求,因此以終端準入解決方案為代表的網路管理軟體開始融合進整體的安全解決方案。終端準入解決方案通過控制用戶終端安全接入網路入手,對接入用戶終端強制實施用戶安全策略,嚴格控制終端網路使用行為,為網路安全提供了有效保障,幫助用戶實現更加主動的安全防護,實現高效、便捷地網路管理目標,全面推動網路整體安全體系建設的進程。
3、數據安全保護系統
數據安全保護系統是廣東南方信息安全產業基地公司,依據國家重要信息系統安全等級保護標準和法規,以及企業數字智慧財產權保護需求,自主研發的產品。它以全面數據檔案安全策略、加解密技術與強制訪問控制有機結合為設計思想,對信息媒介上的各種數據資產,實施不同安全等級的控制,有效杜絕機密信息泄漏和竊取事件。
主要問題
安全隱患
1、Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2、Internet的數據傳輸是基於TCP/IP通信協定進行的,這些協定缺乏使傳輸過程中的信息不被竊取的安全措施。
3、Internet上的通信業務多數使用Unix作業系統來支持,Unix作業系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4、在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在套用層支持的服務協定中是憑著君子協定來維繫的。
5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和檔案丟失。在網路上傳播病毒可以通過公共匿名FTP檔案傳送、也可以通過郵件和郵件的附加檔案傳播。
攻擊形式
主要有四種方式中斷、截獲、修改和偽造。
中斷是以可用性作為攻擊目標,它毀壞系統資源,使網路不可用。
截獲是以保密性作為攻擊目標,非授權用戶通過某種手段獲得對系統資源的訪問。
修改是以完整性作為攻擊目標,非授權用戶不僅獲得訪問而且對數據進行修改。
偽造是以完整性作為攻擊目標,非授權用戶將偽造的數據插入到正常傳輸的數據中。
防犯策略
1.安全技術手段
(1)物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
(2)訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑑別,設定用戶訪問目錄和檔案的許可權,控制網路設備配置的許可權等等。
(3)數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
(4)其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。
2.安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
3.對網路黑客產業鏈的防範措施
中國網際網路信息中心15日發布的《第31次中國網際網路發展狀況統計報告》顯示,2012年我國網購用戶達到2.42億人,增長4807萬,增長率高達24.8%。但與此同時,網購消費欺詐等問題卻日益嚴重。
發展現狀
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
國外
2012年02月04日,黑客集團Anonymous公布了一份來自1月17日美國FBI和英國倫敦警察廳的工作通話錄音,時長17分鐘,主要內容是雙方討論如何尋找證據和逮捕Anonymous,LulzSec,Antisec,CSLSecurity等黑帽子黑客的方式,而其中涉及未成年黑客得敏感內容被遮蓋。
FBI已經確認了該通話錄音得真實性,安全研究人員已經開始著手解決電話會議系統得漏洞問題。
2012年02月13日,據稱一系列政府網站均遭到了Anonymous組織的攻擊,而其中CIA官網周五被黑長達9小時。這一組織之前曾攔截了倫敦警察與FBI之間的一次機密電話會談,並隨後上傳於網路。
國內
2010年,Google發布公告稱將考慮退出中國市場,而公告中稱:造成此決定的重要原因是因為Google被黑客攻擊。
2011年12月21日,國內知名程式設計師網站CSDN遭到黑客攻擊,大量用戶資料庫被公布在網際網路上,600多萬個明文的註冊信箱被迫裸奔。
2011年12月29日下午訊息,繼CSDN、天涯社區用戶數據泄露後,網際網路行業一片人心惶惶,而在用戶數據最為重要的電商領域,也不斷傳出存在漏洞、用戶泄露的訊息,漏洞報告平台烏雲發布漏洞報告稱,支付寶用戶大量泄露,被用於網路行銷,泄露總量達1500萬~2500萬之多,泄露時間不明,裡面只有支付用戶的賬號,沒有密碼。已經被捲入的企業有京東商城、支付寶和噹噹網,其中京東及 支付寶否認信息泄露,而噹噹則表示已經向當地公安報案。
未來二三十年,信息戰在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點:網際網路、無線寬頻及射頻識別等新技術的廣泛套用;實際戰爭代價高昂且不得人心,以及這樣一種可能性,即許多信息技術可秘密使用,使黑客高手能夠反覆打進對手的計算機網路。
據網易、中搜等媒體報導,為維護國家網路安全、保障中國用戶合法利益,我國即將推出網路安全審查制度。該項制度規定,關係國家安全和公共安全利益的系統使用的重要信息技術產品和服務,應通過網路安全審查。審查的重點在於該產品的安全性和可控性,旨在防止產品提供者利用提供產品的方便,非法控制、干擾、中斷用戶系統,非法收集、存儲、處理和利用用戶有關信息。對不符合安全要求的產品和服務,將不得在中國境內使用。
技術支配力量加重
在所有的領域,新的技術不斷超越先前的最新技術。攜帶型電腦和有上網功能的手機使用戶一周7天、一天24小時都可收發郵件,瀏覽網頁。
對信息戰與運作的影響:技術支配力量不斷加強是網路戰的根本基礎。複雜且常是精微的技術增加了全世界的財富,提高了全球的效率。然而,它同時也使世界變得相對脆弱,因為,在意外情況使計算機的控制與監視陷於混亂時,維持行業和支持系統的運轉就非常困難,而發生這種混亂的可能性在迅速增加。根據未來派學者約瑟夫·科茨的觀點,“一個常被忽視的情況是犯罪組織對信息技術的使用。”時在2015年,黑手黨通過電子手段消除了德克薩斯州或內布拉斯加州一家中型銀行的所有記錄,然後悄悄訪問了幾家大型金融服務機構的網站,並發布一條簡單的信息:“那是我們幹的——你可能是下一個目標。我們的願望是保護你們。”
未來派學者史蒂芬·斯蒂爾指出:“網路系統……不單純是信息,而是網路文化。多層次協調一致的網路襲擊將能夠同時進行大(國家安全系統)、中(當地電網)、小(汽車發動)規模的破壞。”
通信技術生活方式
電信正在迅速發展,這主要是得益於電子郵件和其他形式的高技術通信。然而,“千禧世代”(1980年-2000年出生的一代——譯註)在大部分情況下已不再使用電子郵件,而喜歡採用即時信息和社交網站與同伴聯繫。這些技術及其他新技術正在建立起幾乎與現實世界中完全一樣的複雜而廣泛的社會。
對信息戰和運作的影響:這是使信息戰和運作具有其重要性的關鍵的兩三個趨勢之一。
破壞或許並不明目張胆,或者易於發現。由於生產系統對客戶的直接輸入日益開放,這就有可能修改電腦控制的工具機的程式,以生產略微不合規格的產品——甚至自行修改規格,這樣,產品的差異就永遠不會受到注意。如果作這類篡改時有足夠的想像力,並且謹慎地選準目標,則可以想像這些產品會順利通過檢查,但肯定通不過戰場檢驗,從而帶來不可構想的軍事後果。
信息技術與商業管理顧問勞倫斯·沃格爾提醒注意雲計算(第三方數據暫存和面向服務的計算)以及Web2.0的使用(社交網及互動性)。他說:“與雲計算相關的網路安全影響值得注意,無論是公共的還是私人的雲計算。隨著更多的公司和政府採用雲計算,它們也就更容易受到破壞和網路襲擊。這可能導致服務及快速的重要軟體套用能力受到破壞。另外,由於Facebook、部落格和其他社交網在我們個人生活中廣泛使用,政府組織也在尋求與其相關方聯絡及互動的類似能力。一旦政府允許在其網路上進行互動的和雙向的聯絡,網路襲擊的風險將隨之大增。”
全球經濟日益融合
這方面的關鍵因素包括跨國公司的興起、民族特性的弱化(比如在歐盟範圍之內)、網際網路的發展,以及對低工資國家的網上工作外包。
對信息戰及運作的影響:網際網路、私人網路、虛擬私人網路以及多種其他技術,正在將地球聯成一個複雜的“信息空間”。這些近乎無限的聯繫一旦中斷,必然會對公司甚至對國家經濟造成嚴重破壞。
研究與發展
(R&D)促進全球經濟成長的作用日益增強,美國研發費用總和30年來穩步上升。中國、日本、歐盟和俄羅斯也呈類似趨勢。對信息戰及運作的影響:這一趨勢促進了近數十年技術進步的速度。這是信息戰發展的又一關鍵因素。R&D的主要產品不是商品或技術,而是信息。即便是研究成果中最機密的部分一般也是存儲在計算機里,通過企業的內聯網傳輸,而且一般是在網際網路上傳送。這種可獲取性為間諜提供了極好的目標——無論是工業間諜,還是軍事間諜。這(5)技術變化隨著新一代的發明與套用而加速在發展極快的設計學科,大學生一年級時所學的最新知識到畢業時大多已經過時。設計與銷售周期——構想、發明、創新、模仿——在不斷縮短。在20世紀40年代,產品周期可持續三四十年。今天,持續三四十周已屬罕見。
原因很簡單:大約80%過往的科學家、工程師、技師和醫生今天仍然活著——在網際網路上實時交流意見。
機器智慧型的發展也將對網路安全產生複雜影響。據知識理論家、未來學派學者布魯斯·拉杜克說:“知識創造是一個可由人重複的過程,也是完全可由機器或在人機互動系統中重複的過程。”人工知識創造將迎來“奇點”,而非人工智慧,或人工基本智慧型(或者技術進步本身)。人工智慧已經可由任何電腦實現,因為情報的定義是儲存起來並可重新獲取(通過人或計算機)的知識。(人工知識創造)技術最新達到者將推動整個範式轉變。